漏洞概述 漏洞名称: FatFs exFAT divide-by-zero in sync/write paths CVE编号: CVE-2026-6683 CVSS评分: 3.1 (AV:P/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H) 技术影响: 部分 影响范围 受影响产品: FatFs 受影响版本: ChaN's FatFs R0.16 and earlier 下游项目: STMicroelectronics Middleware FatFS MCU, Zephyr Project Zephyr RTOS, ArduPilot, RT-Thread, RIOT OS, Arm Limited Mbed, Samsung TizenRT, Damien P. George's MicroPython, Edy555's NanoVNA, and Stefano Babic's SWUpdate. 修复方案 修复状态: 未提及具体修复方案,但建议更新到最新版本或应用补丁。 技术细节 漏洞描述: exFAT free-space accounting path performs arithmetic that assumes a non-zero divisor. 触发条件: 当创建的exFAT卷设置 时,计算的集群域折叠为 ,导致 。任何写入、同步或关闭路径到达 时都会引发(SIGFPE/hard fault),导致立即崩溃。 POC代码 攻击者价值 攻击者可以利用此漏洞: 可靠地崩溃写入到创建的exFAT媒体的系统。在嵌入式产品中,这可能导致持续的运营拒绝服务,在OTA/更新工作流程中可能导致中途更新失败或变砖行为。 时间线 2026-03-17: 初始发现并记录 2026-04-20: CVE ID保留 2026-04-20: 首次联系提供商,无响应 2026-04-27: 联系JPCERT/CC协调帮助 2026-04-28: JPCERT/CC联系提供商,无响应 2026-05-14: 联系主要下游实施者,未收到完整细节 2026-06-18: 更新JPCERT/CC和下游供应商,披露日期改为7月1日 2026-07-01: 公开披露CVE-2026-6683 信用 发现者: Tod Beardsley CVE协调: Tod Beardsley 订阅 订阅链接: 获取最新新闻和专家见解 页脚 版权信息: © Copyright 2026 runZero, Inc. All Rights Reserved 法律政策: 隐私政策、不卖或分享我的个人信息、主订阅协议、管理订阅